Larry Johnson
El artículo de Tau deja muy claro un hecho: cualquiera que utilice un teléfono iPhone o Android (y lo mismo se aplica a los teléfonos fabricados en China, como Huawei) puede ser rastreado físicamente y sus actividades en línea registradas.
Apple o Google han proporcionado a todos los que poseen un teléfono iPhone o Android un ID de publicidad "anonimizado". Ese número se utiliza para rastrear nuestro movimiento en el mundo real, nuestro comportamiento de navegación en Internet, las aplicaciones que instalamos en nuestro teléfono y mucho más.
El punto clave es que estos datos los recopilan empresas comerciales, no agencias de inteligencia, y están disponibles para su compra. Tau explica:
Adtech utiliza el elemento vital básico del comercio digital (el rastro de datos que sale de casi todos los teléfonos móviles) para entregar información de inteligencia valiosa. Las filtraciones de Edward Snowden de 2013 demostraron que, durante un tiempo, las agencias de espionaje podían obtener datos de anunciantes digitales pinchando cables de fibra óptica o puntos de acceso a Internet. Pero en el mundo posterior a Snowden, cada vez se cifraba más tráfico de este tipo; La Agencia de Seguridad Nacional ya no podía extraer datos de los anunciantes mediante escuchas ilegales. Así que fue una revelación (especialmente dada la protesta pública por las filtraciones de Snowden) que las agencias pudieran simplemente comprar algunos de los datos que necesitaban directamente de entidades comerciales.
Si bien es cierto que agencias de inteligencia como la NSA y el GCHQ de Gran Bretaña están absorbiendo todas las comunicaciones electrónicas, incluidos correos electrónicos, mensajes de texto y llamadas telefónicas, las empresas comerciales que brindan servicios de publicidad en Internet y en teléfonos inteligentes también están recopilando datos, pero no es así. clasificado, y puede ser obtenido por personas con dinero en efectivo para comprarlo.
Tau explica cómo se utilizan estos datos para rastrear, no sólo adónde va una persona, sino también qué está haciendo:
Así es como funciona. Imagínense una mujer llamada Marcela. Tiene un teléfono Google Pixel con la aplicación Weather Channel instalada. Mientras sale por la puerta para salir a correr, ve el cielo nublado. Entonces Marcela abre la aplicación para comprobar si el pronóstico anuncia lluvia.
Al hacer clic en el ícono azul de Weather Channel, Marcela desencadena un frenesí de actividad digital destinada a mostrarle un anuncio personalizado. Comienza con una entidad llamada intercambio de publicidad, básicamente un mercado masivo donde miles de millones de dispositivos móviles y computadoras notifican a un servidor centralizado cada vez que tienen un espacio publicitario abierto.
En menos de un abrir y cerrar de ojos, la aplicación Weather Channel comparte una gran cantidad de datos con este intercambio de anuncios, incluida la dirección IP del teléfono de Marcela, la versión de Android que está ejecutando, su operador, además de una serie de datos técnicos sobre cómo está configurado el teléfono, hasta qué resolución está configurada la resolución de la pantalla. Lo más valioso de todo es que la aplicación comparte las coordenadas GPS precisas del teléfono de Marcela y el número de identificación de publicidad seudonimizado que Google le ha asignado, llamado AAID. (En los dispositivos Apple, se llama IDFA).
Hay algunos pasos que las personas pueden tomar para minimizar la capacidad de las empresas de ADTECH para rastrear y monitorear:
Existen algunos límites y salvaguardias para todos estos datos. Técnicamente, un usuario puede restablecer su número de identificación de publicidad asignado (aunque pocas personas lo hacen, o incluso saben que tienen uno). Y los usuarios tienen cierto control sobre lo que comparten a través de la configuración de su aplicación. Si los consumidores no permiten que la aplicación que están usando acceda al GPS, Ad Exchange no puede obtener la ubicación GPS del teléfono, por ejemplo. (O al menos se supone que no deben hacerlo. No todas las aplicaciones siguen las reglas y, a veces, no son examinadas adecuadamente una vez que están en las tiendas de aplicaciones).
El uso principal de los datos de Geolocalización es aumentar la capacidad de las empresas para atraer clientes o ubicar una empresa en una ubicación óptima:
La geolocalización es el dato comercial más valioso que surge de esos dispositivos. Comprender el movimiento de los teléfonos es ahora una industria multimillonaria. Se puede utilizar para ofrecer publicidad dirigida según la ubicación para, por ejemplo, una cadena de restaurantes que quiera ofrecer publicidad dirigida a personas cercanas. Puede utilizarse para medir el comportamiento del consumidor y la eficacia de la publicidad. ¿Cuántas personas vieron un anuncio y luego visitaron una tienda? Y los análisis se pueden utilizar para decisiones de planificación e inversión. ¿Cuál es la mejor ubicación para poner una nueva tienda? ¿Habrá suficiente tráfico peatonal para sostener un negocio así? ¿El número de personas que visitan un determinado minorista aumenta o disminuye este mes y qué significa eso para el precio de las acciones del minorista?
Pero este tipo de datos sirven para otra cosa. Tiene un notable potencial de vigilancia. ¿Por qué? Porque lo que hacemos en el mundo con nuestros dispositivos no puede ser verdaderamente anónimo. El hecho de que los anunciantes conozcan a Marcela como bdca712j-fb3c-33ad-2324-0794d394m912 mientras la ven moverse por el mundo online y offline no le ofrece casi ninguna protección a su privacidad. En conjunto, sus hábitos y rutinas son exclusivos de ella. Nuestro movimiento en el mundo real es muy específico y personal para todos nosotros. Durante muchos años viví en un pequeño edificio de 13 unidades sin ascensor en Washington, DC. Yo era la única persona que se despertaba todas las mañanas en esa dirección y iba a las oficinas de The Wall Street Journal . Incluso si fuera sólo un número anónimo, mi comportamiento era tan único como una huella digital incluso en un mar de cientos de millones de personas. No había forma de anonimizar mi identidad en un conjunto de datos como la geolocalización. El lugar donde pasa la mayor parte de las noches un teléfono es un buen indicador del lugar donde vive su propietario. Los anunciantes lo saben.
Pero la geolocalización también brinda a las agencias de inteligencia, especialmente aquellas involucradas en operaciones de contrainteligencia, la capacidad de identificar individuos involucrados en espionaje y actividades militares especiales. Es probable que Israel haya utilizado esta capacidad para atacar a miembros del IRGC de Irán, por ejemplo.
Yeagley fue contratado después de que PlaceIQ obtuviera una inversión del brazo de capital de riesgo de la CIA, In-Q-Tel. Así como invirtió dinero en numerosos servicios de seguimiento de redes sociales, los datos geoespaciales también despertaron el interés de In-Q-Tel. La CIA estaba interesada en software que pudiera analizar y comprender el movimiento geográfico de personas y cosas. Quería poder descifrar cuándo, por ejemplo, dos personas intentaban ocultar que viajaban juntas. La CIA había planeado utilizar el software con sus propios datos patentados, pero agencias gubernamentales de todo tipo finalmente se interesaron en el tipo de datos sin procesar que tenían entidades comerciales como PlaceIQ: estaban disponibles a través de una transacción comercial sencilla y tenían menos restricciones de acceso. utilizar dentro del gobierno que las interceptaciones secretas.
Posteriormente, Yeagley creó un producto, PlanetRisk, que demostró ser un software robusto de rastreo de teléfonos que tenía enormes implicaciones para rastrear a presuntos terroristas y exponer operaciones militares inminentes por parte de estados importantes, como Estados Unidos y Rusia. El producto también podría usarse para rastrear los movimientos de los líderes mundiales:
Cuando llegó el momento de producir una demostración del producto comercial de seguimiento telefónico de PlanetRisk, la hija de 10 años de Yeagley lo ayudó a pensar en un nombre. Llamaron al programa Locomotive, un acrónimo de ubicación y motivo . El coste total para montar una pequeña demostración fue de unos 600.000 dólares, financiados en su totalidad por un par de ramas de financiación de la investigación del Pentágono. A medida que el equipo de PlanetRisk puso a prueba a Locomotive y profundizó en los datos, encontraron una historia interesante tras otra.
En un caso, pudieron ver un dispositivo moviéndose de un lado a otro entre Siria y Occidente, una posible preocupación dado el interés de ISIS en reclutar occidentales, entrenarlos y enviarlos de regreso para llevar a cabo ataques terroristas. Pero cuando el equipo de PlanetRisk miró más de cerca, el patrón de comportamiento del dispositivo indicó que probablemente pertenecía a un trabajador de ayuda humanitaria. Podrían rastrear el dispositivo de esa persona hasta instalaciones de la ONU y un campo de refugiados, lugares poco probables para que los combatientes del Estado Islámico pasen el rato.
Se dieron cuenta de que también podían rastrear a los líderes mundiales a través de Locomotive. Después de adquirir un conjunto de datos sobre Rusia, el equipo se dio cuenta de que podían rastrear los teléfonos del entorno del presidente ruso Vladimir Putin. Los teléfonos se movían a todas partes donde lo hacía Putin. Concluyeron que los dispositivos en cuestión en realidad no pertenecían al propio Putin; La seguridad del Estado y la contrainteligencia rusas eran mejores que eso. En cambio, creían que los dispositivos pertenecían a los conductores, el personal de seguridad, los asistentes políticos y otro personal de apoyo alrededor del presidente ruso; Los teléfonos de esas personas eran rastreables en los datos publicitarios. Como resultado, PlanetRisk sabía hacia dónde se dirigía Putin y quiénes estaban en su séquito.
El producto específico producido por PlanetRisk – Locomotive – demostró tener capacidades sólidas para rastrear movimientos militares:
Lo más alarmante es que PlanetRisk comenzó a ver evidencia de las propias misiones del ejército estadounidense en los datos de Locomotive. Los teléfonos aparecerían en instalaciones militares estadounidenses como Fort Bragg en Carolina del Norte y la Base de la Fuerza Aérea MacDill en Tampa, Florida, hogar de algunos de los operadores especiales estadounidenses más hábiles con el Comando Conjunto de Operaciones Especiales y otras unidades del Comando de Operaciones Especiales de EE. UU. Luego transitarían por terceros países como Turquía y Canadá antes de llegar finalmente al norte de Siria, donde se agrupaban en la fábrica de cemento abandonada de Lafarge en las afueras de la ciudad de Kobane.
El equipo de PlanetRisk se dio cuenta de que se trataba de operadores especiales estadounidenses que se reunían en una instalación militar sin previo aviso. Meses después, sus sospechas se verían confirmadas públicamente; eventualmente, el gobierno estadounidense reconocería que la instalación era una base de operaciones avanzada para el personal desplegado en la campaña contra ISIS.
Yeagley, debido a una disputa con los otros propietarios de PlanetRisk sobre cómo comercializar Locomotive, dejó la empresa y se unió a otra empresa, que trabajaba exclusivamente para el Comando Conjunto de Operaciones Especiales (también conocido como JSOC).
Entonces Yeagley y PlanetRisk se separaron. Se llevó consigo su relación comercial con UberMedia. PlanetRisk pasó a otras líneas de trabajo y finalmente se vendió en partes a otros contratistas de defensa. Yeagley aterrizaría en una empresa llamada Aelius Exploitation Technologies, donde intentaría convertir Locomotive en un programa gubernamental real para el Comando Conjunto de Operaciones Especiales, la fuerza de operaciones especiales de élite dedicada a la caza de terroristas que mató a Osama bin Laden y Ayman Al Zarqawi y pasó los últimos años desmantelando ISIS.
Locomotive pasó a llamarse VISR, que significa Inteligencia, Vigilancia y Reconocimiento Virtuales. Se utilizaría como parte de un programa interinstitucional y se compartiría ampliamente dentro de la comunidad de inteligencia estadounidense como herramienta para generar pistas.
Supongo que hay una manera de construir un teléfono inteligente que sea inmune a este tipo de seguimiento. Carezco de la experiencia técnica para identificar y explicar los pasos que se deben seguir para lograr ese resultado. Pero aquí está el problema: la abrumadora cantidad de funcionarios gubernamentales, incluidos aquellos involucrados en actividades militares y de espionaje, probablemente todavía utilicen un teléfono inteligente convencional y, por lo tanto, son muy vulnerables a ser rastreados y monitoreados.
Esta tecnología proporciona a las organizaciones de inteligencia, especialmente a aquellas encargadas de misiones de contrainteligencia, una herramienta enormemente poderosa. Por ejemplo, creo que los rusos están utilizando los datos de los teléfonos de los terroristas que atacaron el centro de Crocus City a principios de esta primavera para desarrollar pruebas que permitan identificar a otros involucrados, incluidos actores estatales.